5月5日消息,,據(jù)國外媒體報道,近日微軟披露了一個名為“Dirty Stream”的嚴(yán)重安全漏洞,,攻擊者可利用此漏洞控制應(yīng)用程序并竊取有價值的用戶信息,。
微軟的研究表明,這個漏洞并不是個例,,許多流行的Android應(yīng)用程序普遍存在這一問題,,例如安裝量超過10億次的小米文件管理器和安裝量約5億次的WPS Office。
目前上述兩個廠商已經(jīng)及時確認(rèn)其軟件中存在的問題,。
微軟研究員強(qiáng)調(diào)了面臨風(fēng)險的設(shè)備數(shù)量驚人:“我們在Google Play商店中發(fā)現(xiàn)了幾個易受攻擊的應(yīng)用程序,,這些應(yīng)用的總安裝量超過了40億?!?/p>
根據(jù)介紹,,“Dirty Stream”漏洞的核心在于惡意應(yīng)用可以操縱和濫用Android的內(nèi)容提供程序系統(tǒng),該系統(tǒng)通常用于設(shè)備上不同應(yīng)用程序之間的安全數(shù)據(jù)交換,。
同時該系統(tǒng)還包含嚴(yán)格的數(shù)據(jù)隔離,、特定URI(統(tǒng)一資源標(biāo)識符)附加權(quán)限以及文件路徑驗證等安全措施,以防止未經(jīng)授權(quán)的訪問,。
然而微軟研究人員發(fā)現(xiàn),,不正確地使用“自定義意圖”(允許Android應(yīng)用組件進(jìn)行通信的消息傳遞系統(tǒng))可能會暴露應(yīng)用的敏感區(qū)域。
例如易受攻擊的應(yīng)用可能無法充分檢查文件名或路徑,,從而為惡意應(yīng)用提供了可乘之機(jī),,使其可以將偽裝成合法文件的惡意代碼混入其中。